Троянски кон краде имена, пароли и номера на банкови сметки

Автор:

02.07.2004 13:11:33

Технологии

Прегледи: 1439

От Вирусната лаборатория на Panda Software съобщиха за появата на нов троянски кон Trj/Bankhook.A, наричан още: PWS-WebMoney.gen, TrojanSpy.Win32.Small.aa.

Той краде потребителски имена, пароли и номера на банкови сметки от генерирания от компютъра трафик и някои online банкови услуги.

Злонамереният код се самоинсталира, възползвайки се от някои пропуски в сигурността на системи с инсталиран Windows 2003/XP/2000/NT/ME/98/95. Bankhook.A е DLL (Dynamic Link Library), който се саморегистрира с цел да си осигури активиране при всяко отваряне на Internet Explorer.

Вирусът следи за някои текстови стрингове, свързани с различни online банки в генерирания в компютъра HTTPS. Като намери такъв низ краде поверителна информация като потребителски имена, пароли, номера на сметки, номера на кредитни карти и други. След това ги изпраща в script към отдалечена система.

Трудно се разпознава присъствието му, тъй като не визуализира съобщения за идентифициране.

Bankhook.A търси следните текстови стрингове, свързани с различни online банки в генерирания HTTPS трафик:
.anz.com
.bendigobank.com.au
.citibank.com
.citibank.de
.dab-bank.com
.deutsche-bank.de
.e-gold.com
.hsbc.com.au
.hsbc.com.hk
.online-banking.standardchartered.com.hk
.sgekocbank.koc
.sparkasse-banking.de
.stgeorge.com.au
bank.com.tr
banking.lbbw.de
banking.mashreqbank.com
banknetpower.net
barclays.co.uk
cd.citibank.co.ae
cibconline.cibc.com
citibank.com.au
commbank.com.au
dit-online.de
easyweb.tdcanadatrust.com
ebank.uae.hsbc.com
hercules.pamukbank.com.tr
internetsube.akbank.com.tr
lloydstsb.co.uk
national.com.au
nbd.aeonline-banking.standardchartered.ae
online.nbad.com
pbg1.edc.citiaccess.com
standardchartered.com
suncorpmetway.com.au
westpac.com.au
www.alahlionline.com
www.almubasher.com.sa
www.arabi-online.com
www.cbdonline.ae
www.citibank.com.hk
www.dahsing.com
www.ebank.iba.com.hk
www.privatebank.citibank.com
www.sabbnet.com
www.samba.com
www.scotiaonline.scotiabank.com
www.unb.com
www1.bmo.com
www1.royalbank.com

Троянецът представлява DLL (Dynamic Link Library), който се зарежда като BHO (Browser Helper Object).
Той използва MhtRedir с цел да изтегли файл CHM на заразената машина. Този файл съдържа друг в HTML формат, съдържащ script код използван от MhtRedir. По този начин изтегля изпълним файл, който инсталира и активира DLL, разпознаван от Panda Software като Trj/Bankhook.A.